不可思議的「銀行戶口」盜竊案

報載，兩名女子因應徵工作提供身份證及銀行戶口號碼，被騙徒利用刁鑽手法從銀行戶口中盜取金錢，涉及的還包括網上銀行保安做得甚嚴的大銀行如恆生等，令筆者大感奇怪，遂一探究竟。

今次騙徒利用之作為工具的是移動錢包的一種：「香港支付寶」，之前因為它有推廣優惠，我就乘機登記使用。而通常在消費付款時，比較上算的做法，都是綁定信用卡作為付款之用，這樣的話，除了獲得支付寶自己的優惠，也會同時累積信用卡積分。所以我是從來沒有使用「從銀行帳戶增值」這個功能。從支付寶現時暫停了這個功能來看，應該是這處出了問題：

在我綁定要扣款信用卡時，例必收到手機短訊去輸入一次性密碼去確認，而我一向有使用的恆生銀行，對於網上要轉帳往第三方戶口，從來都十分小心，是需要親身到分行填表登記該戶口才可以的，即使有人破解了網上銀行密碼登入戶口亦不可以隨意轉錢去別處。所以，我初時難以明白，騙徒在沒有事主手機或網上銀行密碼在手的情況下，為何可以通過驗證去綁定事主的銀行戶口？

對於沒有使用支付寶的朋友，以下幾個關鍵之處是需要明白：

1.      簡單地使用支付寶香港的話，是可以單以手機號碼登記，但這樣的話騙徒就不能使用那些有漏洞的功能。所以需要升級為已認證的用戶，而辦法就是上傳一張身份證副本。如果事主一早已有個已認證身份的支付寶戶口，騙徒當然不能得逞，而漏洞就是：如果這身份證從未認證過支付寶戶口，那麼騙徒用任何一個第三者的手機號碼，假冒用事主的身份證首次去認證，支付寶就會無條件接受！騙徒獲得的身份證副本就是作這用途。

2.      即使如此，要綁定信用卡用作支付的話，應該也會收到手機短訊去輸入密碼確認。要綁定銀行戶口的話，支付寶原本的方法，是要人登入自己的網上銀行做手續，這個步驟騙徒是無法做到。

3.      不過，在開通了「轉數快」這服務之後，支付寶容許戶主由支付寶介面中向銀行提出「直接付款授權」，騙徒便可以在事主不知情的情況下做這個步驟，而漏洞就是：由於銀行得到支付寶戶口確認該戶口是屬於事主(支付寶卻只是靠身份證副本確認)，亦即不是「第三方」，所以銀行便通過了「付款授權」的要求，而且，至少是涉事的恆生或中銀，並沒有以短訊立即知會事主！

由這兩個漏洞，騙徒便可以在事主不知情的情況下拿走戶口的金錢。留意，若沒有「轉數快」的開通，是應該沒有這種盜取金錢的手法。過程中，我認為支付寶只得到身份證副本就給予認證是責無旁貸，必須改正。「老千計狀元才」，在9月30日開通轉數快後短短廿日，騙徒竟然能快速找出這兩個漏洞配合使用，並且為此做足了招聘、收集個人私隱、試開支付寶、試提出付款授權的行動，腦筋其實非常高超，如果用於正途，何愁賺不到有意義的金錢呢？

由於筆者早點嘗試使用，反而避免了被人冒開支付寶戶口的危險，這是否在警惕我們，即使我們如何拒絕接受新金融工具，最終我們也難逃它的影響？